日韩成人黄色,透逼一级毛片,狠狠躁天天躁中文字幕,久久久久久亚洲精品不卡,在线看国产美女毛片2019,黄片www.www,一级黄色毛a视频直播

一種網(wǎng)絡(luò)安全設(shè)備的風(fēng)險評估方法和裝置與流程

文檔序號:11253922閱讀:447來源:國知局
一種網(wǎng)絡(luò)安全設(shè)備的風(fēng)險評估方法和裝置與流程

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,尤指一種網(wǎng)絡(luò)安全設(shè)備的風(fēng)險評估方法和裝置。



背景技術(shù):

目前,隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展,網(wǎng)絡(luò)安全問題日益突出,企業(yè)網(wǎng)絡(luò)中的多個位置都會部署防火墻、入侵防御系統(tǒng)、防病毒等安全產(chǎn)品,其中,企業(yè)與外網(wǎng)、商業(yè)合作伙伴之間的業(yè)務(wù)需求會時刻發(fā)生變化,并且公共漏洞和暴露(commonvulnerabilities&exposures,簡稱:cve)、國家信息安全漏洞共享平臺(chinanationalvulnerabilitydatabase,簡稱:cnvd)等權(quán)威機(jī)構(gòu)時刻發(fā)布新發(fā)現(xiàn)的漏洞,這些都要求企業(yè)網(wǎng)絡(luò)管理人員對網(wǎng)絡(luò)安全設(shè)備的配置進(jìn)行變更,從而保障企業(yè)網(wǎng)絡(luò)的安全。

現(xiàn)有技術(shù)中,企業(yè)網(wǎng)絡(luò)管理人員會通過開放防火墻某個端口,以便與商業(yè)合作伙伴進(jìn)行業(yè)務(wù)交流,或者關(guān)閉某個端口,避免被某個漏洞利用等等辦法來對網(wǎng)絡(luò)安全設(shè)備的配置進(jìn)行變更,同時通過特定的產(chǎn)品對網(wǎng)絡(luò)安全設(shè)備的配置進(jìn)行核查,以便及時發(fā)現(xiàn)配置中的漏洞。

但是,采用現(xiàn)有的技術(shù),通過特定的產(chǎn)品來對網(wǎng)絡(luò)安全設(shè)備配置結(jié)果的分析考慮并不全面,使得最終評估的結(jié)果不能準(zhǔn)確、有效、多方面的反映網(wǎng)絡(luò)安全設(shè)備的安全狀態(tài)。



技術(shù)實(shí)現(xiàn)要素:

為了解決上述技術(shù)問題,本發(fā)明提供了一種網(wǎng)絡(luò)安全設(shè)備的風(fēng)險評估方法和裝置,能夠更直觀、準(zhǔn)確、有效的表明當(dāng)前設(shè)備安全狀態(tài)。

為了達(dá)到本發(fā)明目的,第一方面,本發(fā)明提供了一種網(wǎng)絡(luò)安全設(shè)備的風(fēng) 險評估方法,該方法包括:

確定預(yù)定的風(fēng)險庫,所述風(fēng)險庫包括多條風(fēng)險項(xiàng);

提取出待評估設(shè)備中與所述風(fēng)險項(xiàng)相關(guān)的有效配置信息,并根據(jù)有效配置信息的風(fēng)險分析結(jié)果獲取所述待評估設(shè)備觸發(fā)的風(fēng)險項(xiàng);

分別分析預(yù)定的風(fēng)險庫中的風(fēng)險項(xiàng)和所述待評估設(shè)備觸發(fā)的風(fēng)險項(xiàng),采取相應(yīng)的計算方法,得到所述待評估設(shè)備的安全狀態(tài)值。

與現(xiàn)有技術(shù)相比,本發(fā)明提供了一種網(wǎng)絡(luò)安全設(shè)備的風(fēng)險評估方法,通過確定預(yù)定的風(fēng)險庫,提取出待評估設(shè)備中與所述風(fēng)險項(xiàng)相關(guān)的有效配置信息,并根據(jù)有效配置信息的風(fēng)險分析結(jié)果獲取觸發(fā)所述待評估設(shè)備的風(fēng)險項(xiàng),分別分析預(yù)定的風(fēng)險庫中風(fēng)險項(xiàng)和所述待評估設(shè)備已觸發(fā)的風(fēng)險項(xiàng),采取相應(yīng)的計算方法,得到所述待評估設(shè)備的安全狀態(tài)值風(fēng)險值,這樣分析風(fēng)險項(xiàng)的風(fēng)險值、風(fēng)險項(xiàng)之間的關(guān)聯(lián)關(guān)系、所述待評估設(shè)備的風(fēng)險項(xiàng)已觸發(fā)的每條風(fēng)險項(xiàng)的觸發(fā)次數(shù)來進(jìn)行相應(yīng)地計算得到待評估設(shè)備的安全狀態(tài)值,使得更直觀、準(zhǔn)確、有效的表明當(dāng)前設(shè)備安全狀態(tài)。

第二方面,本發(fā)明提供了一種網(wǎng)絡(luò)安全設(shè)備的風(fēng)險評估裝置,該裝置包括:確定模塊、提取模塊和評估模塊;

所述確定模塊,設(shè)置于確定預(yù)定的風(fēng)險庫,所述風(fēng)險庫包括多條風(fēng)險項(xiàng)的配置信息,所述配置信息包括風(fēng)險項(xiàng)的識別碼和描述內(nèi)容;

所述提取模塊,設(shè)置于提取出待評估設(shè)備中與所述風(fēng)險項(xiàng)相關(guān)的有效配置信息,并根據(jù)有效配置信息的風(fēng)險分析結(jié)果獲取所述待評估設(shè)備觸發(fā)的風(fēng)險項(xiàng);

所述評估模塊,設(shè)置于分別分析預(yù)定的風(fēng)險庫中的風(fēng)險項(xiàng)和所述待評估設(shè)備觸發(fā)的風(fēng)險項(xiàng),采取相應(yīng)的計算方法,得到所述待評估設(shè)備的安全狀態(tài)值。

與現(xiàn)有技術(shù)相比,本發(fā)明提供了一種網(wǎng)絡(luò)安全設(shè)備的風(fēng)險評估裝置,通過確定模塊確定預(yù)定的風(fēng)險庫,提取模塊提取出待評估設(shè)備中與所述風(fēng)險項(xiàng)相關(guān)的有效配置信息,并根據(jù)有效配置信息的風(fēng)險分析結(jié)果獲取觸發(fā)所述待評估設(shè)備的風(fēng)險項(xiàng),評估模塊分別分析預(yù)定的風(fēng)險庫中風(fēng)險項(xiàng)和所述待評估 設(shè)備已觸發(fā)的風(fēng)險項(xiàng),采取相應(yīng)的計算方法,得到所述待評估設(shè)備的安全狀態(tài)值風(fēng)險值,這樣分析風(fēng)險項(xiàng)的風(fēng)險值、風(fēng)險項(xiàng)之間的關(guān)聯(lián)關(guān)系、所述待評估設(shè)備的風(fēng)險項(xiàng)已觸發(fā)的每條風(fēng)險項(xiàng)的觸發(fā)次數(shù)來進(jìn)行相應(yīng)地計算得到待評估設(shè)備的安全狀態(tài)值,使得更直觀、準(zhǔn)確、有效的表明當(dāng)前設(shè)備安全狀態(tài)。

本發(fā)明的其它特征和優(yōu)點(diǎn)將在隨后的說明書中闡述,并且,部分地從說明書中變得顯而易見,或者通過實(shí)施本發(fā)明而了解。本發(fā)明的目的和其他優(yōu)點(diǎn)可通過在說明書、權(quán)利要求書以及附圖中所特別指出的結(jié)構(gòu)來實(shí)現(xiàn)和獲得。

附圖說明

附圖用來提供對本發(fā)明技術(shù)方案的進(jìn)一步理解,并且構(gòu)成說明書的一部分,與本申請的實(shí)施例一起用于解釋本發(fā)明的技術(shù)方案,并不構(gòu)成對本發(fā)明技術(shù)方案的限制。

圖1為本發(fā)明提供的一種網(wǎng)絡(luò)安全設(shè)備的風(fēng)險評估方法實(shí)施例一的流程示意圖;

圖2為本發(fā)明提供的一種網(wǎng)絡(luò)安全設(shè)備的風(fēng)險評估裝置實(shí)施例一的結(jié)構(gòu)示意圖。

具體實(shí)施方式

為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白,下文中將結(jié)合附圖對本發(fā)明的實(shí)施例進(jìn)行詳細(xì)說明。需要說明的是,在不沖突的情況下,本申請中的實(shí)施例及實(shí)施例中的特征可以相互任意組合。

在附圖的流程圖示出的步驟可以在諸如一組計算機(jī)可執(zhí)行指令的計算機(jī)系統(tǒng)中執(zhí)行。并且,雖然在流程圖中示出了邏輯順序,但是在某些情況下,可以以不同于此處的順序執(zhí)行所示出或描述的步驟。

本發(fā)明實(shí)施例涉及的方法可以應(yīng)用于網(wǎng)絡(luò)安全系統(tǒng)中的單個設(shè)備,該網(wǎng)絡(luò)安全設(shè)備可以是路由器、防火墻、行為管理器和核心交換機(jī)等設(shè)備,但并不限于此。

本發(fā)明實(shí)施例涉及的方法,旨在解決現(xiàn)有技術(shù)中通過特定的產(chǎn)品來對網(wǎng) 絡(luò)安全設(shè)備配置結(jié)果的分析考慮并不全面,使得最終評估的結(jié)果不能準(zhǔn)確、有效、多方面的反映網(wǎng)絡(luò)安全設(shè)備的安全狀態(tài)的技術(shù)問題。

下面以具體地實(shí)施例對本發(fā)明的技術(shù)方案進(jìn)行詳細(xì)說明。下面這幾個具體的實(shí)施例可以相互結(jié)合,對于相同或相似的概念或過程可能在某些實(shí)施例不再贅述。

圖1為本發(fā)明提供的一種網(wǎng)絡(luò)安全設(shè)備的風(fēng)險評估方法實(shí)施例一的流程示意圖。本實(shí)施例涉及的是實(shí)現(xiàn)網(wǎng)絡(luò)安全設(shè)備的風(fēng)險評估方法的具體過程。如圖1所示,該方法包括:

s101、確定預(yù)定的風(fēng)險庫,所述風(fēng)險庫包括多條風(fēng)險項(xiàng)。

具體的,用戶可以根據(jù)統(tǒng)一安全策略管控系統(tǒng)提供的標(biāo)準(zhǔn)風(fēng)險庫,也可以根據(jù)業(yè)務(wù)需求,自定義風(fēng)險庫來適合企業(yè)的需求,其中,該風(fēng)險庫包括了設(shè)備的所有漏洞信息,這里定義每個漏洞為一條風(fēng)險項(xiàng),例如:設(shè)備的管理員密碼為默認(rèn)值,設(shè)備開放了telnet服務(wù)等等,但并不限于此。

具體的,每條風(fēng)險項(xiàng)都有風(fēng)險項(xiàng)的識別碼和描述內(nèi)容,對每個風(fēng)險項(xiàng)(也簡稱:漏洞)進(jìn)行了詳細(xì)的分析,并用相應(yīng)的字段進(jìn)行表示,這里每個風(fēng)險項(xiàng)包含的字段有:風(fēng)險項(xiàng)識別碼、描述內(nèi)容、風(fēng)險項(xiàng)帶來的風(fēng)險值大小、風(fēng)險項(xiàng)和風(fēng)險項(xiàng)之間的關(guān)聯(lián)關(guān)系等等,但并不限于此。

s102、提取出待評估設(shè)備中與所述風(fēng)險項(xiàng)相關(guān)的有效配置信息,并根據(jù)有效配置信息的風(fēng)險分析結(jié)果獲取所述待評估設(shè)備觸發(fā)的風(fēng)險項(xiàng)。

具體的,可以根據(jù)統(tǒng)一安全策略管控系統(tǒng)通過ssh遠(yuǎn)程連接到待評估的設(shè)備,根據(jù)風(fēng)險庫中風(fēng)險項(xiàng)的配置信息對待評估設(shè)備的原始配置信息進(jìn)行提取,提取待評估設(shè)備中與所述風(fēng)險項(xiàng)相關(guān)的有效信息,即提取可能存在漏洞的所有相關(guān)的有效配置信息形成規(guī)范化數(shù)據(jù),將所述規(guī)范化數(shù)據(jù)按照預(yù)定的風(fēng)險庫進(jìn)行風(fēng)險分析,獲取所述待評估設(shè)備已觸發(fā)的風(fēng)險項(xiàng),例如,風(fēng)險庫中存在一條關(guān)于管理員密碼有效期的風(fēng)險項(xiàng),則需提取該待評估設(shè)備的原始配置信息中的有效數(shù)據(jù),即密碼有效期的信息,并在規(guī)范化的格式中設(shè)定密碼有效期的字段,且該字段值即為采集到的密碼有效期的值,但并不以此為限。

s103、分別分析預(yù)定的風(fēng)險庫中風(fēng)險項(xiàng)和所述待評估設(shè)備觸發(fā)的風(fēng)險項(xiàng),采取相應(yīng)的計算方法,得到所述待評估設(shè)備的安全狀態(tài)值。

具體的,可根據(jù)用戶選擇的風(fēng)險庫分析所選擇的風(fēng)險庫中的風(fēng)險項(xiàng),并對所述待評估設(shè)備觸發(fā)的風(fēng)險項(xiàng)進(jìn)行分析,可以分析風(fēng)險項(xiàng)的風(fēng)險值、風(fēng)險項(xiàng)之間的關(guān)聯(lián)關(guān)系、觸發(fā)風(fēng)險項(xiàng)的風(fēng)險值、觸發(fā)風(fēng)險項(xiàng)之間的關(guān)聯(lián)關(guān)系等等,將分別分析后的結(jié)果采取相應(yīng)的計算方法,獲取所述待評估設(shè)備的安全狀態(tài)值。

本發(fā)明實(shí)施例提供的一種網(wǎng)絡(luò)安全設(shè)備的風(fēng)險評估方法,通過確定預(yù)定的風(fēng)險庫,提取出待評估設(shè)備中與所述風(fēng)險項(xiàng)相關(guān)的有效配置信息,并根據(jù)有效配置信息的風(fēng)險分析結(jié)果獲取觸發(fā)所述待評估設(shè)備的風(fēng)險項(xiàng),分析預(yù)定的風(fēng)險庫中風(fēng)險項(xiàng)和所述待評估設(shè)備已觸發(fā)的風(fēng)險項(xiàng),采取相應(yīng)的計算方法,得到所述待評估設(shè)備的安全狀態(tài)值風(fēng)險值,通過分析風(fēng)險項(xiàng)的風(fēng)險值、風(fēng)險項(xiàng)之間的關(guān)聯(lián)關(guān)系、所述待評估設(shè)備的風(fēng)險項(xiàng)已觸發(fā)的每條風(fēng)險項(xiàng)的觸發(fā)次數(shù)來進(jìn)行相應(yīng)地計算得到待評估設(shè)備的安全狀態(tài)值,使得更直觀、準(zhǔn)確、有效的表明當(dāng)前設(shè)備安全狀態(tài)。

進(jìn)一步地,在上述實(shí)施例的基礎(chǔ)上,在上述步驟101確定預(yù)定的風(fēng)險庫之前,還包括:

預(yù)先收集各配置類型的風(fēng)險庫,所述配置類型包括基線庫和/或訪問控制列表acl庫。

具體的,本發(fā)明實(shí)施例的風(fēng)險評估是從風(fēng)險項(xiàng)的角度觸發(fā),通過預(yù)定的分析方法來判斷待評估設(shè)備的配置是否存在風(fēng)險項(xiàng),并結(jié)合這些風(fēng)險項(xiàng)存在的風(fēng)險值來判斷待評估設(shè)備的安全狀態(tài)值,因此,預(yù)處理中需要對待評估設(shè)備的配置信息進(jìn)行收集和描述,形成基線分析和/或acl風(fēng)險分析等配置類型所需的風(fēng)險庫,其中,風(fēng)險庫的形成參考了當(dāng)前知名漏洞庫,如cve;也可以參考設(shè)備配置規(guī)范要求,如nist關(guān)于防火墻配置規(guī)范,還可以參考通用的一些標(biāo)準(zhǔn),如基線標(biāo)準(zhǔn)、合規(guī)標(biāo)準(zhǔn)、pci標(biāo)準(zhǔn)等等,但并不限于此。

具體的,預(yù)先收集的風(fēng)險庫可以根據(jù)配置類型進(jìn)行分類,將風(fēng)險庫具體區(qū)分為基線模塊的基線庫和acl風(fēng)險庫,從而可以分別用于基線分析和acl風(fēng)險分析。

進(jìn)一步地,在上述實(shí)施例的基礎(chǔ)上,分析預(yù)定的風(fēng)險庫中的風(fēng)險項(xiàng),包括:

統(tǒng)計預(yù)定的風(fēng)險庫中的風(fēng)險項(xiàng)的總數(shù);

采用cvss3.0評分方法分析獲取預(yù)定的風(fēng)險庫中的風(fēng)險項(xiàng)的風(fēng)險值;

確定預(yù)定風(fēng)險庫中任意兩條風(fēng)險項(xiàng)之間的關(guān)聯(lián)關(guān)系,其中,觸發(fā)第一條風(fēng)險項(xiàng)必定會觸發(fā)第二條風(fēng)險項(xiàng),且觸發(fā)所述第二條風(fēng)險項(xiàng)不會觸發(fā)所述第一條風(fēng)險項(xiàng),則確定所述第一條風(fēng)險項(xiàng)和第二條風(fēng)險項(xiàng)之間存在關(guān)聯(lián)。

具體的,這里用于分析的風(fēng)險庫可以是統(tǒng)一安全策略管控系統(tǒng)提供的標(biāo)準(zhǔn)庫、風(fēng)險總庫,也可以由用戶根據(jù)自己的業(yè)務(wù)需求,組合而成的適合自身企業(yè)的自定義風(fēng)險庫,統(tǒng)計預(yù)定的風(fēng)險庫中的風(fēng)險項(xiàng)的總數(shù),并采用cvss3.0評分方法分析獲取預(yù)定的風(fēng)險庫中的風(fēng)險項(xiàng)的風(fēng)險值,統(tǒng)一安全策略管控系統(tǒng)采用官方最新的cvss3.0評分方法,從漏洞的攻擊途徑、攻擊復(fù)雜度、特權(quán)、用戶交互、機(jī)密性、完整性、可用性等角度進(jìn)行考慮,利用cvss3.0評分公式,評估當(dāng)前漏洞的風(fēng)險值,并對漏洞得分進(jìn)行定性分析,劃分成嚴(yán)重、高、中、低、輕微五個等級,用以直觀的判斷當(dāng)前漏洞的嚴(yán)重程度,采用公認(rèn)的cvss3.0評分方法,使得漏洞的風(fēng)險值更加準(zhǔn)確、可靠、可信。

其中,對于風(fēng)險項(xiàng)與風(fēng)險項(xiàng)之間的關(guān)聯(lián)關(guān)系,主要是用來分析預(yù)定的風(fēng)險庫中的不同的風(fēng)險項(xiàng)(即漏洞)之間的關(guān)聯(lián)關(guān)系,這里關(guān)聯(lián)關(guān)系的定義為:對風(fēng)險庫中任意兩條風(fēng)險項(xiàng)(即漏洞)a、b,如果觸發(fā)風(fēng)險項(xiàng)a的所有風(fēng)險庫規(guī)則必定會觸發(fā)風(fēng)險項(xiàng)b,并且觸發(fā)風(fēng)險項(xiàng)b的風(fēng)險庫規(guī)則不一定觸發(fā)風(fēng)險項(xiàng)a,則認(rèn)為風(fēng)險a與風(fēng)險項(xiàng)b存在關(guān)聯(lián)關(guān)系,其中風(fēng)險項(xiàng)b包含風(fēng)險項(xiàng)a。從定義可以看出,若不考慮這種包含關(guān)系,在對設(shè)備的安全得分進(jìn)行計算時,則會導(dǎo)致觸發(fā)被包含的風(fēng)險項(xiàng)(即漏洞)的acl規(guī)則被計算多次,導(dǎo)致設(shè)備的風(fēng)險得分變高,安全得分降低。實(shí)際中,依據(jù)上述關(guān)聯(lián)關(guān)系的定義,對風(fēng)險庫中的風(fēng)險項(xiàng)進(jìn)行關(guān)聯(lián)關(guān)系分析,分析步驟如下:

(1)對預(yù)定的風(fēng)險庫任意的兩條風(fēng)險項(xiàng)a、b,依據(jù)關(guān)聯(lián)關(guān)系的定義,分析這兩條風(fēng)險項(xiàng)是否存在關(guān)聯(lián)關(guān)系;

(2)若(1)中的風(fēng)險項(xiàng)a、b存在關(guān)聯(lián)關(guān)系,且b包含a,則在風(fēng)險項(xiàng)b的“漏洞關(guān)聯(lián)關(guān)系”字段添加風(fēng)險項(xiàng)a的漏洞id。

例如:風(fēng)險項(xiàng)r1檢查外網(wǎng)到內(nèi)網(wǎng)是否開放服務(wù)為any類型的規(guī)則,風(fēng)險項(xiàng)r2檢查外網(wǎng)到內(nèi)網(wǎng)是否開放telnet服務(wù),風(fēng)險項(xiàng)r3檢查外網(wǎng)到內(nèi)網(wǎng)是否開放x11服務(wù),通過分析r1、r2、r3之間的關(guān)聯(lián)關(guān)系可以得出結(jié)論:觸發(fā)風(fēng)險項(xiàng)r1的acl規(guī)則必然會觸發(fā)風(fēng)險項(xiàng)r2、r3,因此,需在風(fēng)險項(xiàng)r2和r3的“漏洞關(guān)聯(lián)關(guān)系”字段添加值r1。這里若不考慮它們之間的關(guān)聯(lián)關(guān)系,則會出現(xiàn)觸發(fā)風(fēng)險項(xiàng)r1的acl規(guī)則被計算多次(例中可得出觸發(fā)r1的每條acl規(guī)則都被計算了3次)。將這種包含關(guān)系考慮進(jìn)去,去除重復(fù)計算的acl規(guī)則,提高了系統(tǒng)設(shè)備acl模塊和設(shè)備綜合安全狀態(tài)分析結(jié)果的準(zhǔn)確性。

進(jìn)一步地,在上述實(shí)施例的基礎(chǔ)上,分析所述待評估設(shè)備觸發(fā)的風(fēng)險項(xiàng),包括:

若預(yù)定的風(fēng)險庫包括訪問控制列表acl庫時,分析所述待評估設(shè)備觸發(fā)的每條風(fēng)險項(xiàng)的觸發(fā)次數(shù)、風(fēng)險項(xiàng)的風(fēng)險值以及風(fēng)險項(xiàng)之間的關(guān)聯(lián)關(guān)系這三者中的一個或者多個。

具體的,若預(yù)定的風(fēng)險庫中是多種類型的acl風(fēng)險庫,用戶可根據(jù)選擇的acl風(fēng)險庫分析觸發(fā)所述待評估設(shè)備的每條風(fēng)險項(xiàng)的觸發(fā)次數(shù)、風(fēng)險項(xiàng)的風(fēng)險值以及風(fēng)險項(xiàng)之間的關(guān)聯(lián)關(guān)系這三者中一個或者多個。需要說明的是,采用不同的風(fēng)險庫進(jìn)行分析,檢測出的漏洞信息也是不同的。下面將通過實(shí)施例來進(jìn)行詳細(xì)說明,具體如下:

(1)根據(jù)用戶選擇的風(fēng)險庫對規(guī)范化的acl策略數(shù)據(jù)進(jìn)行風(fēng)險分析,統(tǒng)計觸發(fā)每條風(fēng)險項(xiàng)(即漏洞)的acl策略的識別碼號;

(2)對步驟(1)中的結(jié)果依據(jù)風(fēng)險項(xiàng)與風(fēng)險項(xiàng)之間的關(guān)聯(lián)關(guān)系進(jìn)行處理,去除重復(fù)計算的acl策略的id號,得到處理后的觸發(fā)每條風(fēng)險項(xiàng)的acl策略的id號;

(3)根據(jù)(2)中的處理結(jié)果統(tǒng)計觸發(fā)每條風(fēng)險項(xiàng)的次數(shù),其中一個acl策略id號則代表觸發(fā)一次。例如,對于一個風(fēng)險值較低的風(fēng)險項(xiàng),觸發(fā)了1次和觸發(fā)了100次,評估這個風(fēng)險項(xiàng)給系統(tǒng)造成的安全影響是不同的,觸發(fā)次數(shù)較多的風(fēng)險項(xiàng),表明這個風(fēng)險項(xiàng)被使用的次數(shù)較高,而越多次的被使用,則說明存在惡意的使用次數(shù)相對是比較多的,從而增加了待評估設(shè)備的風(fēng)險 值。

(4)根據(jù)(1)、(2)、(3)的分析結(jié)果,獲取待評估設(shè)備acl安全狀態(tài)值。

對于上述的分析過程(4),下面給出一種計算過程,具體如下:

統(tǒng)計預(yù)定的風(fēng)險庫中風(fēng)險項(xiàng)總數(shù)m和觸發(fā)每條風(fēng)險項(xiàng)的acl規(guī)則總數(shù)xi(i=1,2,…,n),按照計算公式得到安全狀態(tài)值,其中,所述sn為觸發(fā)的風(fēng)險項(xiàng)總分,所述st為未觸發(fā)的風(fēng)險項(xiàng)總分,所述所述所述權(quán)重值ri為所述風(fēng)險項(xiàng)的風(fēng)險值,(i=1,2,3,…,n)為觸發(fā)風(fēng)險項(xiàng),n小于等于m,(i=n+1,…,m)為未觸發(fā)的風(fēng)險項(xiàng),xi取值1,2,3,…。

上述的流程中,通過分析acl風(fēng)險分析檢測出的已觸發(fā)的風(fēng)險項(xiàng)(即漏洞)、風(fēng)險項(xiàng)的風(fēng)險值、風(fēng)險項(xiàng)被觸發(fā)的次數(shù),分析了系統(tǒng)設(shè)備acl模塊的安全狀態(tài),并得出相應(yīng)的安全狀態(tài)值。

此方法在分析時,相對已有的技術(shù)考慮了風(fēng)險項(xiàng)之間的關(guān)聯(lián)關(guān)系、風(fēng)險項(xiàng)被觸發(fā)的次數(shù)問題,分析更加全面。而風(fēng)險值的計算采用cvss3.0評分技術(shù),相對取經(jīng)驗(yàn)值的方法,該方法更加可靠、可信。此外,計算得到系統(tǒng)安全狀態(tài)值更直觀、準(zhǔn)確、有效的表明當(dāng)前設(shè)備安全狀態(tài)。

進(jìn)一步地,在上述實(shí)施例的基礎(chǔ)上,分析所述待評估設(shè)備觸發(fā)的風(fēng)險項(xiàng),包括:

若預(yù)定的風(fēng)險庫包括基線庫時,分析所述待評估設(shè)備觸發(fā)的風(fēng)險項(xiàng)的風(fēng)險值。

具體的,若確定預(yù)定的風(fēng)險庫是多種類型的基線風(fēng)險庫,用戶可根據(jù)選擇的基線風(fēng)險庫分析每條風(fēng)險項(xiàng)的風(fēng)險值,并根據(jù)歸一化的基線模塊的數(shù)據(jù),進(jìn)行基線模塊的風(fēng)險分析。這里用于分析的基線庫可以是統(tǒng)一安全策略管控系統(tǒng)自帶的基線庫,也可以是用戶根據(jù)自身業(yè)務(wù)需求自定義的基線庫,選擇的基線庫不同,最終的評估結(jié)果也不相同。下面將通過實(shí)施例來進(jìn)行詳細(xì)說明,具體如下:

(1)從風(fēng)險庫中選擇出與基線相關(guān)的所有基線庫,用戶依據(jù)選擇的基線庫,對所述待評估設(shè)備的歸一化基線數(shù)據(jù)進(jìn)行基線分析;

(2)根據(jù)(1)中檢查出的已觸發(fā)的風(fēng)險項(xiàng)(即漏洞),風(fēng)險項(xiàng)的風(fēng)險值,進(jìn)行安全狀態(tài)值的計算;

(3)對于上述的分析過程(2),下面給出一種計算過程,具體如下:統(tǒng)計預(yù)定的風(fēng)險庫中風(fēng)險項(xiàng)總數(shù)m,按照計算公式:

得到安全狀態(tài)值,其中,所述s'n為觸發(fā)的風(fēng)險項(xiàng)總分,所述st'為未觸發(fā)的風(fēng)險項(xiàng)總分,所述所述所述權(quán)重值ri為所述風(fēng)險項(xiàng)的風(fēng)險值,(i=1,2,3,…,n)為觸發(fā)風(fēng)險項(xiàng),n小于等于m,(i=n+1,…,m)為未觸發(fā)的風(fēng)險項(xiàng)。

上述的流程中,通過分析基線分析檢測出的已觸發(fā)的風(fēng)險項(xiàng)(即漏洞)、風(fēng)險項(xiàng)的風(fēng)險值、分析了系統(tǒng)設(shè)備基線模塊的安全狀態(tài),并得出相應(yīng)的安全狀態(tài)值。

此方法在分析時,對風(fēng)險項(xiàng)(即漏洞)的風(fēng)險值的計算采用cvss3.0評分技術(shù),相對取經(jīng)驗(yàn)值的方法,該方法更加可靠、可信。此外,計算得到系統(tǒng)安全狀態(tài)值更直觀、準(zhǔn)確、有效的表明當(dāng)前設(shè)備安全狀態(tài)。

進(jìn)一步地,在上述實(shí)施例的基礎(chǔ)上,若確定預(yù)定的風(fēng)險庫包括基線庫和訪問控制列表acl庫時,分別分析預(yù)定的風(fēng)險庫中的風(fēng)險項(xiàng)和所述待評估設(shè)備觸發(fā)的風(fēng)險項(xiàng),采取相應(yīng)的計算方法,得到所述待評估設(shè)備的安全狀態(tài)值,下面將通過實(shí)施例來進(jìn)行詳細(xì)說明,具體如下:

(1)判斷待評估設(shè)備是否支持acl風(fēng)險分析,若支持則執(zhí)行acl模塊的安全狀態(tài)分析,具體執(zhí)行方法,同上述實(shí)施例中acl風(fēng)險庫,若不支持,則不執(zhí)行;

(2)對待分析的設(shè)備執(zhí)行基線模塊的安全狀態(tài)分析,具體執(zhí)行方法,同實(shí)施例中基線庫;

(3)根據(jù)(1)和(2)的分析結(jié)果,分析設(shè)備的綜合安全狀態(tài)。

對于上述的分析過程(3),按照計算公式進(jìn)行計算:

其中,所述sn為訪問控制列表acl庫時所觸發(fā)的風(fēng)險項(xiàng)總分,所述st為為訪問控制列表acl庫時未觸發(fā)的風(fēng)險項(xiàng)總分,所述s'n為基線庫時所觸發(fā)的觸發(fā)的風(fēng)險項(xiàng)總分,所述st'為為基線庫時未觸發(fā)的風(fēng)險項(xiàng)總分。

通過對待評估設(shè)備綜合安全狀態(tài)分析,分析了基線分析和acl分析檢測出的已觸發(fā)風(fēng)險項(xiàng)(即漏洞)信息、風(fēng)險項(xiàng)的風(fēng)險值、風(fēng)險項(xiàng)被觸發(fā)的次數(shù),分析了系統(tǒng)設(shè)備綜合安全狀態(tài),并得出相應(yīng)的安全狀態(tài)值。

此方法在分析時,相對已有的技術(shù)考慮風(fēng)險項(xiàng)之間的關(guān)聯(lián)關(guān)系、風(fēng)險項(xiàng)被觸發(fā)的次數(shù)問題,分析更加全面。而風(fēng)險值的計算采用cvss3.0評分技術(shù),相對取經(jīng)驗(yàn)值的方法,該方法更加可靠、可信。此外,計算得到系統(tǒng)安全狀態(tài)值更直觀、準(zhǔn)確、有效的表明當(dāng)前設(shè)備安全狀態(tài)。

圖2為本發(fā)明提供的一種網(wǎng)絡(luò)安全設(shè)備的風(fēng)險評估裝置實(shí)施例一的結(jié)構(gòu)示意圖,如圖2所示,一種網(wǎng)絡(luò)安全設(shè)備的風(fēng)險評估裝置,包括確定模塊10、提取模塊20和評估模塊30;

所述確定模塊10,設(shè)置于確定預(yù)定的風(fēng)險庫,所述風(fēng)險庫包括多條風(fēng)險項(xiàng)的配置信息,所述配置信息包括風(fēng)險項(xiàng)的識別碼和描述內(nèi)容;

所述提取模塊20,設(shè)置于提取出待評估設(shè)備中與所述風(fēng)險項(xiàng)相關(guān)的有效配置信息,并根據(jù)有效配置信息的風(fēng)險分析結(jié)果獲取所述待評估設(shè)備已觸發(fā)的風(fēng)險項(xiàng);

所述評估模塊30,設(shè)置于分別分析預(yù)定的風(fēng)險庫中的風(fēng)險項(xiàng)和所述待評估設(shè)備觸發(fā)的風(fēng)險項(xiàng),采取相應(yīng)的計算方法,得到所述待評估設(shè)備的安全狀態(tài)值。

本發(fā)明實(shí)施例提供的一種網(wǎng)絡(luò)安全設(shè)備的風(fēng)險評估裝置,包括:確定模塊、提取模塊和評估模塊,通過確定模塊確定預(yù)定的風(fēng)險庫,提取模塊提取出待評估設(shè)備中與所述風(fēng)險項(xiàng)相關(guān)的有效配置信息,并根據(jù)有效配置信息的風(fēng)險分析結(jié)果獲取觸發(fā)所述待評估設(shè)備的風(fēng)險項(xiàng),評估模塊分別分析預(yù)定的風(fēng)險庫中風(fēng)險項(xiàng)和所述待評估設(shè)備已觸發(fā)的風(fēng)險項(xiàng),采取相應(yīng)的計算方法, 得到所述待評估設(shè)備的安全狀態(tài)值風(fēng)險值,通過分析風(fēng)險項(xiàng)的風(fēng)險值、風(fēng)險項(xiàng)之間的關(guān)聯(lián)關(guān)系、所述待評估設(shè)備的風(fēng)險項(xiàng)已觸發(fā)的每條風(fēng)險項(xiàng)的觸發(fā)次數(shù)來進(jìn)行相應(yīng)地計算得到待評估設(shè)備的安全狀態(tài)值,使得更直觀、準(zhǔn)確、有效的表明當(dāng)前設(shè)備安全狀態(tài)。

進(jìn)一步地,在上述實(shí)施例的基礎(chǔ)上,還包括:預(yù)處理模塊40;

所述預(yù)處理模塊40,設(shè)置于在確定預(yù)定的風(fēng)險庫之前,預(yù)先收集各配置類型的風(fēng)險庫,所述配置類型至少包括基線庫和/或訪問控制列表acl庫。

本發(fā)明實(shí)施例提供的裝置,可以執(zhí)行上述方法實(shí)施例,其實(shí)現(xiàn)原理和技術(shù)效果類似,在此不再贅述。

進(jìn)一步地,在上述實(shí)施例的基礎(chǔ)上,所述評估模塊30設(shè)置于分析預(yù)定的風(fēng)險庫中的風(fēng)險項(xiàng),是指:

所述評估模塊設(shè)置于統(tǒng)計預(yù)定的風(fēng)險庫中的風(fēng)險項(xiàng)的總數(shù);

采用cvss3.0評分方法分析獲取預(yù)定的風(fēng)險庫中的風(fēng)險項(xiàng)的風(fēng)險值;

確定預(yù)定風(fēng)險庫中任意兩條風(fēng)險項(xiàng)之間的關(guān)聯(lián)關(guān)系,其中,觸發(fā)第一條風(fēng)險項(xiàng)必定會觸發(fā)第二條風(fēng)險項(xiàng),且觸發(fā)所述第二條風(fēng)險項(xiàng)不會觸發(fā)所述第一條風(fēng)險項(xiàng),則確定所述第一條風(fēng)險項(xiàng)和第二條風(fēng)險項(xiàng)之間存在關(guān)聯(lián)。

進(jìn)一步地,在上述實(shí)施例的基礎(chǔ)上,所述評估模塊30設(shè)置于分析所述待評估設(shè)備已觸發(fā)的風(fēng)險項(xiàng),是指:

所述評估模塊設(shè)置于若預(yù)定的風(fēng)險庫包括訪問控制列表acl庫時,分析觸發(fā)所述待評估設(shè)備觸發(fā)的每條風(fēng)險項(xiàng)的觸發(fā)次數(shù)、風(fēng)險項(xiàng)的風(fēng)險值以及風(fēng)險項(xiàng)之間的關(guān)聯(lián)關(guān)系這三者中的一個或者多個。

本發(fā)明實(shí)施例提供的裝置,可以執(zhí)行上述方法實(shí)施例,其實(shí)現(xiàn)原理和技術(shù)效果類似,在此不再贅述。

進(jìn)一步地,在上述實(shí)施例的基礎(chǔ)上,所述評估模塊30設(shè)置于分析所述待評估設(shè)備觸發(fā)的風(fēng)險項(xiàng),是指:

所述評估模塊30設(shè)置于若預(yù)定的風(fēng)險庫包括基線庫時,分析所述待評估設(shè)備觸發(fā)的風(fēng)險項(xiàng)的風(fēng)險值。

本發(fā)明實(shí)施例提供的裝置,可以執(zhí)行上述方法實(shí)施例,其實(shí)現(xiàn)原理和技術(shù)效果類似,在此不再贅述。

雖然本發(fā)明所揭露的實(shí)施方式如上,但所述的內(nèi)容僅為便于理解本發(fā)明而采用的實(shí)施方式,并非用以限定本發(fā)明。任何本發(fā)明所屬領(lǐng)域內(nèi)的技術(shù)人員,在不脫離本發(fā)明所揭露的精神和范圍的前提下,可以在實(shí)施的形式及細(xì)節(jié)上進(jìn)行任何的修改與變化,但本發(fā)明的專利保護(hù)范圍,仍須以所附的權(quán)利要求書所界定的范圍為準(zhǔn)。

當(dāng)前第1頁1 2 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
1